Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Удаление baidu.

Дэкапитатор

Автор Дэкапитатор
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Выполните скрипт в AVZ
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Мик1\AppData\Roaming\VG01_2\s_inst.exe','');
 QuarantineFile('C:\Program Files (x86)\Аудио и видео скачивание\IE\x86\Downloader.dll','');
 DelBHO('{84C9B457-C48F-46CC-90C0-5A310C64108A}');
 DelBHO('{15DEE173-1BE9-4424-81E0-58A87076E9B1}');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Users\Мик1\AppData\Local\Kometa\kometaup.exe','');
 QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
 DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BaiduClient','command');
DeleteFile('C:\Users\Мик1\AppData\Local\Amigo\Application\amigo.exe','32');
 DeleteFile('C:\Users\Мик1\AppData\Local\Kometa\kometaup.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command');
 DeleteFile('C:\iexplore.bat','32'); 
DeleteFile('C:\Program Files (x86)\Аудио и видео скачивание\IE\x86\Downloader.dll','32');
 DeleteFile('C:\Users\Мик1\AppData\Roaming\VG01_2\s_inst.exe','32');
 DeleteFile('C:\Windows\Tasks\VG01_2.job','64');
 BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('c:\users\мик1\appdata\local\baidu\baidu\1.3.1.157\Baidu.exe');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\websafe\WebMonBHO.dll');
BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0003.sys');
 BC_DeleteFile('C:\Windows\system32\drivers\BDDefense.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench.sys');
 BC_DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BaiduSdSvc.exe');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduHips.exe');
 BC_DeleteSvc('BaiduHips');
 BC_DeleteSvc('BDKVRTP');
 BC_DeleteSvc('BDSGRTP');
 BC_DeleteSvc('bd0001');
 BC_DeleteSvc('bd0002');
 BC_DeleteSvc('bd0003');
 BC_DeleteSvc('BDDefense');
 BC_DeleteSvc('BDMWrench');
 BC_DeleteSvc('BDSafeBrowser');
 BC_DeleteSvc('bd0004');
 BC_DeleteSvc('BDFileDefend');
 BC_DeleteSvc('BDMWrench_x64');
 BC_DeleteSvc('BdSandBox');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BDShellExt64.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\baidusdTray.exe');
 BC_DeleteFile('C:\Program Files (x86)\baidu\BindEx.exe');
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
 

Выполните скрипт в AVZ
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Сделайте новые логи
 
Сделайте лог ComboFix
Ссылка на комментарий
Поделиться на другие сайты
  • 1 месяц спустя...
Дэкапитатор Новичок

Дэкапитатор

Опубликовано
  • Автор
Опубликовано

Добрый вечер. Прождал месяц , Касперский так и не прислал файлы.

Re [VirLabSRF][Malicious file analysis][M1][LNRU][L0] [KLAN-2356148941]

Re [VirLabSRF][Malicious file analysis][M1][LNRU][L1] [KLAN-2356181330]

 

 

ComboFix.txt

CollectionLog-2015.01.12-21.13.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Пофиксите в HiJack




R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=fadb49324cb5c70aa11b1bc176e84ffb&text={searchTerms}

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=fadb49324cb5c70aa11b1bc176e84ffb&text={searchTerms}

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=fadb49324cb5c70aa11b1bc176e84ffb&text=

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=fadb49324cb5c70aa11b1bc176e84ffb&text=

O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=fadb49324cb5c70aa11b1bc176e84ffb&text=


 

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С 

KillAll::

 

File::



c:\windows\system32\drivers\bd0003.sys

c:\windows\system32\drivers\BDDefense.sys

c:\windows\system32\drivers\bd0002.sys

c:\windows\system32\drivers\bd0001.sys

c:\windows\SysWow64\drivers\BDArKit.sys

C:\firefox.bat

C:\launcher.bat

C:\lаunсhеr.bаt.exe

c:\windows\system32\drivers\BDMWrench.sys

c:\windows\system32\bd64_x64.dll

c:\windows\system32\bd64_x86.dll

c:\windows\system32\drivers\BDSafeBrowser.sys

c:\windows\system32\drivers\bd0001_1.sys

C:\firеfох.bаt.exe



 

Driver::



bd0004

BDFileDefend

BDMWrench_x64

BDSafeBrowser

BdSandBox



BaiduHips

BDKVRTP

BDSGRTP





bd0003

BDMWrench

BDDefense

 





Folder::

c:\program files (x86)\Common Files\Baidu

c:\program files (x86)\BaiduSd3.0

 

Registry::

 

FileLook::

 

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

cfscript.gif

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Ссылка на комментарий
Поделиться на другие сайты
Дэкапитатор Новичок

Дэкапитатор

Опубликовано
  • Автор
Опубликовано

После того как перенес файл на пиктограму Комбо фикс запустился как в первый раз и сделал проверку с перезагрузкой, все верно?

log.txt

Ссылка на комментарий
Поделиться на другие сайты
Дэкапитатор Новичок

Дэкапитатор

Опубликовано
  • Автор
Опубликовано

На сколько мне видно проблема устранилась. Спасибо большое!

 

Но в локальных дисках появились папки : $RECYCLE. BIN , Boot , IDE , msdownld.tmp , 

 

Папки удалились кроме Boot в этой папки остались подпапки с руссификацией ru-RU fr-FR  memtest и тд. Как удалить эту папку?


А все решил проблему через програму Унлокер. Спасибо еще раз.

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

 

 


Папки удалились кроме Boot в этой папки остались подпапки с руссификацией ru-RU fr-FR  memtest и тд. Как удалить эту папку? А все решил проблему через програму Унлокер. Спасибо еще раз.

перезагружались после того, как удалили?

 

это системная папка.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Вадим_АнтиВирус
      Помощь в удаленнии вируса
      Автор Вадим_АнтиВирус
      Здравствуйте.
      Вчера я скачал программу, под названием FataHook.exe
      Я ее запустил, вроде все замечательно работало. Потом в неожиданный момент пишу в браузере Microsoft Edge: Что делать, если вирус на компьютере?
      Проходит секунд 5-6 и вирус сразу закрывает браузер.
      Папка hosts отсутствует из за ее блокировки вирусом.
      Не могу запустить ни один антивирус под любым названием (даже с измененным).
      Если перейду в параметры, то там вообще отсутствует кнопка безопасности Windows.
      Если в поиске написать: Защита от вирусов и угроз, то выдает ошибку: Вам понадобится новое приложение, чтобы открыть эту ссылку windowsdefender.
       
      Помогите пожалуйста удалить данный вирус!!!
    • Xistoner
      Tool.BtcMine.2794. После удаления восстанавливается
      Автор Xistoner
      Проверил систему через dr.web, удалил. После перезапуска системы опять появляется и работает.
      Прикрепил логи AutoLogger
      CollectionLog-2025.06.26-18.43.zip
    • Amgasan
      Нужна помощь в удалении Tool.btcmine.2794.
      Автор Amgasan
      Обнаружил загрузку ГП на но утбуке, при проверке DoctorWeb CureIt выдало Tool.btcmine.2794, после перезагрузки снова восстанавливается как файл WinServiceNetworking.exe. 
      CollectionLog-2025.06.17-21.00.zip
    • Durb
      [РЕШЕНО] Нужна помощь в удалении вируса Tool.BtcMine.2812
      Автор Durb
      Никак не могу удалить. Майнер возвращается после перезапуска системы
      CollectionLog-2025.07.18-15.25.zip
    • Alexey82
      [РЕШЕНО] Прошу помощи с удалением Trojan:Win32/Kepavll!rfn
      Автор Alexey82
      Добрый день.
      Прошу помощи в удалении Trojan:Win32/Kepavll!rfn.
       
      Сработал стандартный Защитник Windows (Windows 10) Microsoft Defender.
      В папке ProgramData появилось много папок с названиями всех известных антивирусов, при попытке открыть страницы в браузере с упоминанием о удалении троянов - браузер закрывается.
      Прогнал CureIt, нашел угрозы, удалил не всё, лог приложил.
      Объясню сразу момент - приложение GPP Remote Service установлено мной лично для доступа к домашнему ноуту.
      Собственно все началось после того, как захотел ознакомиться с игрой Wizardum, как ни странно скачивал торрент отсюда (h__s://bуrutgаmе.оrg/41154-wizоrdum.htmI), в момент запуска установщика, на него выругался Microsoft Defender.
       
      Прошу помощи с удалением.
       
      Заранее спасибо откликнувшимся специалистам.
      CollectionLog-2025.06.27-06.20.zip cureit.rar
×
×
  • Создать...